PCIDSSとは│兵庫大阪京都関西以外の地域もご支援いたします

アズポート株式会社　兵庫・大阪・京都等、関西一円や東海地区の中小企業様のプライバシーマーク取得、ISO認証ご支援実績多数

PCI DSS 認証取得コンサルティング

（Payment Card Industry Data Security Standard）

PCI DSSとは

PCI DSSとISMSの違い

前のページに戻る

※PCI　DSSのコンサルティングは長期にわたるため、状況によってはお受けできない場合がございます。詳細はメールにてお問い合わせください。

スーパーのレジが標的に！

2014年12月11日の新聞に、POSシステムから顧客のカード情報を読み取るウィルスが日本で3件確認されたと掲載され、その約3ヶ月後の2015年2月16日には、国内で6件の感染が確認されたと発表されました。
通常、カード情報はレジ内で暗号化される仕組みになっていますが、確認されたウイルスの大半は、暗号化される前の情報を抜き出す働きを持っていたとのことです。
以前、カードを預かった店員がスキミングをしていたというニュースが出ましたが、POSレジのウィルスは、店員の悪意によるものではなく、POSシステムがウィルス感染をするため、機械を通したカード情報はほとんど抜き取られてしまいます。
店舗側のセキュリティ意識が低ければ利用者に多大な迷惑をかける上に、自店への膨大な損害賠償にもつながる可能性があります。その対策と万が一の対処を兼ねたPCI DSS準拠が今は求められています。

PCI DSS認証取得のメリット
最大のメリットは、加盟店等からカード情報が流出して不正使用された場合でも、その加盟店がPCI DSSに準拠していれば、その管理責任のあるカード会社(アクワイアラ)に求められる損害の補償の義務が免責されるという点です。

■PCI DSSとは

PCI DSSとは、クレジットカード決済代行事業者や加盟店において、クレジットカード会員のカード情報や取引情報等の個人のデータを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。
元々は、各国際カード会社がそれぞれ独自に運用していましたが、1つの加盟店で複数のカードが使用できる現在に対応するため、国際カードブランド5社（JCB・アメリカンエクスプレス・VISA・マスターカード・Discover）が共同で策定したものです。

PCI DSS は、クレジットカードを取り扱っている企業のみが対象だと思われがちですが、実はクレジットカードの取り扱いをしていない企業や組織が認証取得を目指す傾向にあります。
その理由は、カード情報がデータで管理されていることにあります。
データの取り扱い方を見直し、適切な管理方法を厳守することで、社内全体の情報セキュリティ管理を実施することになります。
PCI DSSでは、ある程度具体的な対策が提示されているため、企業や組織で起こりえる、ハッカーやクラッカー等の不正アクセスによるサイトの改ざんや、データの漏洩、悪用等を防ぐことができます。

認定取得について（日本カード情報セキュリティ協議会より抜粋）

	対象内容
訪問審査	PCI国際協議会によって認定された審査機関(QSA=Qualified Security Assessor)による訪問審査を受けて、認証を得る。 QSAの一覧は、PCI国際協議会のサイトに掲示されています。カード発行会社をはじめ、情報の取扱い規模の大きな事業者に、要請されている方法です。
サイトスキャン	WEBサイトから侵入されて、情報を盗み取られることがないか、 PCI国際協議会によって認定されたベンダー (ASV=Approved Scanning Vendor)のスキャンツールによって、四半期に1回以上の点検を受けてサイトに脆弱性のないことの認証を得る。 ASVの一覧は、PCI国際協議会のサイトに掲示されています。カード情報の取扱いが中規模、およびインターネットに接続している事業者には必須の方法です。
自己問診	PCIDSSの要求事項に基づいた、アンケート形式によるチェック項目に回答して、すべて「Yes」であれば、準拠していると認められます。カード情報取扱い件数の比較的少ない、一般加盟店などの事業者向けの方法です。当初のVer1.0は、セキュリティに関するＩＴの専門用語が並んでいて、一般の商店経営者の方がこの設問を理解するのは、かなりたいへんな内容でした。そこで2008年2月に改訂されたVer1.1では、一般加盟店やサービスプロバイダーなどの形態別に分けて制作され、 PCIDSSを理解いただけるよう、工夫されています。日本語版は2008年10月からVISA-Japanのサイトに掲載されています。